Security Incident Response-Playbook-Aktionen
In diesem Abschnitt werden die in der Flow Designer-Aktionsbibliothek bereitgestellten Aktionen beschrieben.
| Aktionsname | Beschreibung | Beispielszenario | |
|---|---|---|---|
| Fügen Sie dem Security Incident ein Sicherheits-Tag hinzu | Verwenden Sie diese Aktion, um mithilfe der Flow Designer-Logik automatisch ein Sicherheits-Tag hinzuzufügen. | Wenn der Flow einen IoC erkennt, kann das Tag IoC erkannt mit dieser Aktion automatisch hinzugefügt werden. Flow: |
|
| Fügen Sie dem Security Incident erkennbare Elemente hinzu | Verwenden Sie diese Aktion, um einem ausgewählten Security Incident erkennbare Elemente hinzuzufügen.
|
|
|
| Betroffene Benutzer (zugehörige Listen) aus mehreren Security Incidents abrufen V1 | Ruft alle betroffenen Benutzer ab, die in der zugehörigen Liste „Betroffene Benutzer“ für die angegebenen Security Incidents aufgeführt sind. | Möglicherweise haben Sie übergeordnete Security Incidents mit mehreren untergeordneten Security Incidents. Verwenden Sie diese Aktion, um ein Rollup für betroffene Benutzer von allen untergeordneten Security Incidents zu den entsprechenden übergeordneten Security Incidents durchzuführen. Es wird nur ein Rollup für eindeutige betroffene Benutzer durchgeführt, und alle Duplikate werden eliminiert. |
|
| Rufen Sie betroffene Benutzer aus mehreren Security Incidents ab | Ruft den primär betroffenen Anwender für den angegebenen Security Incident ab. Sie enthält nicht die betroffenen Benutzer aus der zugehörigen Liste „Betroffene Benutzer“. |
|
|
| Ruft betroffene Benutzer (zugehörige Liste) aus einem Security Incident ab | Ruft alle betroffenen Benutzer ab, die in der zugehörigen Liste „Betroffene Benutzer“ für einen angegebenen Security Incident aufgeführt sind. |
|
|
| Fügen Sie dem Security Incident betroffene Benutzer hinzu | Fügt alle betroffenen Benutzer einem Security Incident hinzu. | Angenommen, Sie haben einen übergeordneten Security Incident mit mehreren untergeordneten Security Incidents. Sie können diese Aktion verwenden, um ein Rollup für betroffene Benutzer aus allen untergeordneten Security Incidents zum entsprechenden übergeordneten Security Incident durchzuführen. Es wird nur ein Rollup für eindeutige betroffene Benutzer durchgeführt, und alle Duplikate werden eliminiert. |
|
| Ruft Konfigurationselemente der betroffenen Benutzer ab | Ruft die Konfigurationselemente (CIs) aller betroffenen Anwender ab. | In Phishing- oder Malware-Szenarien können Sie diese Aktion verwenden, um die zugehörige Liste „Betroffene Konfigurationselemente (CI)“ zu aktualisieren und die CIs zu untersuchen. Sie können dann den Schweregrad oder die Risikopunktzahl des Security Incident basierend auf der Anzahl der identifizierten CIs aktualisieren. |
|
| Ruft alle untergeordneten Security Incidents für einen Security Incident ab | Ruft alle untergeordneten Security Incidents ab, die sich auf einen bestimmten übergeordneten Security Incident beziehen. | Beispielszenario: Verwenden Sie diese Aktion für Folgendes:
|
|
| Konfigurationselemente für die erkennbaren Elemente abrufen (IP-Adresse eingeben) | Ruft alle Konfigurationselemente (CIs) für erkennbare Elemente vom Typ „IP-Adresse“ ab. | Eine erkennbare IP-Adresse kann einem Konfigurationselement zugeordnet werden. Zum Beispiel die IP-Adresse eines Servers. Wenn Sie diese Aktion verwenden, können Sie Informationen für den Server abrufen. |
|
| Ist erkennbares Element böswillig | Bestätigt das Vorhandensein eines oder mehrerer schädlicher erkennbarer Elemente in einem Satz von erkennbaren Elementen. | Nachdem die Bedrohungssuche abgeschlossen ist und Sie das Vorhandensein schädlicher erkennbarer Elemente identifiziert haben, können Sie den Schweregrad oder die Risikopunktzahl eines Security Incidents erhöhen. |
|
| Senden Sie eine E-Mail, um die Benutzerinteraktion zu bestätigen | Sendet eine E-Mail als Antwort auf eine Benutzerantwort. | Wenn ein Benutzer mehrmals versucht, sich bei einer Anwendung anzumelden, und dies fehlschlägt, führt dies zu einem fehlgeschlagenen Anmeldeszenario. In diesem Fall wird eine E-Mail an den Benutzer gesendet, um zu bestätigen, ob der Benutzer versucht hat, sich anzumelden. Abhängig von der Benutzerantwort (Ja oder Nein) können verschiedene Aktionen ausgeführt werden. Flow: Playbook „Manuelle fehlgeschlagene Anmeldung“. |
|
| Filtern Sie die erkennbaren Elemente der zulässigen Liste heraus | Verwenden Sie diese Aktion, um die Liste erkennbarer Elemente aus einem bestimmten Satz von erkennbaren Elementen zuzulassen. | Sie können bestimmte erkennbare Elemente identifizieren, die aus einer Reihe von erkennbaren Elementen ignoriert werden können. Diese erkennbaren Elemente werden bei der Lösung des Security Incident nicht berücksichtigt. |
|
| Setzen Sie das Passwort für betroffene Benutzer zurück | Verwenden Sie diese Aktion, um das Passwort für betroffene Anwender zurückzusetzen. | Wenn ein Benutzerkonto angegriffen wurde oder ein Benutzer das Zurücksetzen des Passworts anfordert, wird eine E-Mail an den Benutzer gesendet, um das Passwort zurückzusetzen. Flow: Playbook „Manuelle fehlgeschlagene Anmeldung“. |
|
| Ruft die Benutzergruppe für den betroffenen Benutzer ab | Ruft die Anwendergruppendetails der betroffenen Anwender ab. | Wenn in einer Organisation zwei oder mehr Benutzer Phishing-E-Mails melden, können Sie die Gruppe ermitteln, zu der sie gehören, und ermitteln, ob weitere Benutzer betroffen waren |
|